Octopus Scanner: pahavara, mis mõjutab NetBeanssi ja võimaldab tagaukste asetamist

Teade, et GitHubis on avastatud erinevaid nakkusprojekte pahavara mis on suunatud populaarsele IDE-le "NetBeans" ja mida kasutatakse kompileerimisprotsessis pahavara levitamiseks.

Uurimine näitas seda kõnealuse pahavara abil mida nimetati kaheksajalgade skanneriks, olid tagauksed varjatult varjatud 26 avatud projektis GitHubi hoidlatega. Esimesed jäljed Octopus Scanneri manifestatsioonist on dateeritud 2018. aasta augustiga.

Avatud lähtekoodiga tarneahela kindlustamine on tohutu ülesanne. See läheb kaugemale turvalisuse hindamisest või lihtsalt uusimate CVE-de lappimisest. Tarneahela turvalisus on seotud kogu tarkvaraarenduse ja tarnimise ökosüsteemi terviklikkusega. Alates koodide kompromissist kuni nende vooluni läbi CI / CD torujuhtme kuni väljalaskete tegeliku edastamiseni võib terviklikkuse ja turvaküsimuste kaotamine olla kogu elutsükli vältel.

Kaheksajalgade skanneri kohta

See pahavara avastati saate faile tuvastada NetBeansi projektidega ja lisada oma kood failide projitseerimiseks ja JAR-failide kogumiseks.

Tööalgoritm on NetBeansi kataloogi leidmine kasutajaprojektidega itereerige kõik selles kataloogis olevad projektid et saaksite pahatahtliku skripti paigutada kausta nbproject / cache.dat ja muutke faili nbproject / build-impl.xml muudatusi, et seda skripti kutsuda iga kord, kui projekti ehitatakse.

Koostamise ajal saadud JAR-failides on pahavara koopia, mis muutuvad täiendavaks levitusallikaks. Näiteks pandi pahatahtlikud failid eelmainitud 26 avatud projekti hoidlatesse, kui ka mitmetes teistes projektides uute versioonide järgu väljaandmisel.

9. märtsil saime turvauurijalt teate, milles teatati GitHubis hostitud hoidlatest, mis arvatavasti tahtmatult pahavara teenisid. Pärast pahavara enda põhjalikku analüüsi avastasime midagi, mida polnud oma platvormil varem näinud: pahavara, mis oli loodud NetBeansi projektide loendamiseks ja pani tagaukse, mis levitamiseks kasutab koostamisprotsessi ja sellest tulenevaid artefakte.

Teise kasutaja poolt pahatahtliku JAR-failiga projekti üleslaadimisel ja käivitamisel järgmine otsingutsükkel NetBeans ja pahatahtliku koodi juurutamine algab teie süsteemis, mis vastab isepaljuvate arvutiviiruste töömudelile.

Lisaks enese levitamise funktsionaalsusele sisaldab pahatahtlik kood ka süsteemi taga juurdepääsu võimaldavaid tagaukse funktsioone. Juhtumi analüüsimise ajal ei olnud tagaukse halduse (C&C) serverid aktiivsed.

Kokku uuris mõjutatud projekte uurides Ilmutati 4 nakkusevarianti. Aktiveerimise ühes valikus tagauks Linuxis, automaatkäivituse fail «$ AVALEHT / .config / autostart / octo.desktop » ja Windowsis käivitati käivitamiseks ülesanded sktasside kaudu.

Tagaust saab kasutada arendajate väljatöötatud koodile järjehoidjate lisamiseks, varaliste süsteemide koodilekete korraldamiseks, tundlike andmete varastamiseks ja kontode hõivamiseks.

Allpool on kõrgetasemeline ülevaade kaheksajalgade skanneri toimimisest:

1. Tuvastage kasutaja NetBeansi kataloog
2. Lisage kõik projektid kataloogi NetBeans
3. Laadige kood kataloogi cache.datanbproject / cache.dat
4. Muutke nbproject / build-impl.xml veendumaks, et kasulik koormus käivitatakse iga kord, kui NetBeansi projekt on üles ehitatud
5. Kui pahatahtlik koormus on skanneri Octopus eksemplar, on äsja loodud JAR-fail nakatunud.

GitHubi teadlased ei välista et pahatahtlik tegevus ei piirdu ainult NetBeansiga ja Octopus Scanneris võib olla ka muid variante mida saab integreerida loomise protsessi, mis põhineb Make, MsBuild, Gradle ja muudel süsteemidel.

Mõjutatud projektide nimesid ei mainita, kuid need on hõlpsasti leitavad GitHubi maski "CACHE.DAT" otsingu kaudu.

Pahatahtliku tegevuse jälgi leidnud projektide hulgast: V2Mp3Player, JavaPacman, Kosim-Framework, 2D-füüsika - simulatsioonid, PacmanGame, GuessTheAnimal, SnakeCenterBox4, CallCenter, ProyectoGerundio, pacman-java_ia, SuperMario- FR-.

allikas: https://securitylab.github.com/